Allgemein | Banken | Unternehmensgruppe | Versicherungen

DORA für Banken und Versicherungen

Veröffentlicht am: 13. Dezember 2024

Am 17.01.2025 tritt der Digital Resilience Act (DORA) in Kraft, allerdings werden voraussichtlich die wenigsten Banken und Versicherungen bereits zu diesem Datum vollständig DORA compliant sein und auch in den kommenden Jahren Nachbesserungen durchführen müssen. Insbesondere die Marktteilnehmer, die die MaRisk und die BAIT / VAIT als Kostentreiber oder notwendiges Übel betrachtet und den Weg des geringsten Wiederstandes gesucht haben, werden jetzt durch die an diese anknüpfende DORA-Regulierung „geweckt“. Der integrative Ansatz der DORA Verordnung gepaart mit den detaillierten Anforderungen führt dazu, dass vorhandene manuelle Verfahren, Excel-Ansätze und Insellösungen einzelner Aufgabenbereiche nicht mehr tragen. Zusätzlich stellt DORA als erste Finanzmarktregulierung nicht nur Anforderungen an Banken, Versicherungen und andere Finanzunternehmen, sondern auch an die Informationsdienstleister die Dienstleistungen für diese erbringen. Damit ist eine komplett neue Gruppe an Unternehmen von Finanzmarktregulierungen betroffen.

Konkret betreffen die Anforderungen die folgenden fünf Themen:

  1. IKT-Risikomanagement
  2. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
  3. Testen der digitalen operationalen Resilienz und Threat-Led Penetration Testing
  4. Management des IKT-Drittdienstleisterrisikos
  5. Überwachung kritischer IKT-Drittdienstleister

Die Vorgaben zum IKT-Risikomanagement bieten für Finanzunternehmen einen Rahmen der Ihnen die Identifizierung, Bewertung und Steuerung von IKT-Risiken ermöglicht. Nach Einschätzung der BaFin ähneln diese den bereits aus VAIT und BAIT bekannten Anforderungen stark. Daher erfolgte auch die Entscheidung der BaFin, die entsprechenden Rundschreiben nicht weiter zu aktualisieren.

Die von der DORA geforderte DOR-Strategie (Digital operational Resilience Strategie) beinhaltet gegenüber der bislang notwendigen IT-Strategie weitergehende Anforderungen und erfordert daher eine Anpassung der Strategie.

Zu der Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle machen DORA und die mit ihr verbundenen technischen Regulierungsstandards neue Vorgaben zu der Ausgestaltung von Klassifizierungs- und Meldeprozessen. Bestehende Prozesse sind in Bezug auf ihre Compliance mit neuen Vorgaben anzupassen und je nach Unternehmen müssen neue Reportingprozesse an weitere Behörden eingeführt werden.

Beim Testen der digitalen operationalen Resilienz und Threat-Led Penetration Testing sind Threat-Lead Penetration Tests einzuführen und die IKT-Dienstleister müssen stärker in die Testdurchführung einbezogen werden.

Zum Management des Drittdienstleisterrisikos und der Überwachung kritischer Dienstleister ist insbesondere das Auslagerungsregister anzupassen. Während dieses bisher von wenigen Mitarbeitern gepflegt werden konnte, sind durch DORA ein Vielfaches an IKT-Dienstleistern betroffen und Informationen zu deren Verträgen, Service Typ und Funktionen aktuell zu halten. Ohne weitere Automatisierung ist das ein aufwändiges und fehleranfälliges, wenn nicht sogar unmögliches Unterfangen, zumal sich Funktionen und Dienstleister kontinuierlich ändern.

Zuletzt dürfen Finanzunternehmen nach dem Inkrafttreten der DORA Informationen zu Cyberbedrohungen austauschen. Entsprechende Vereinbarungen, Teilnahmebedingungen und die Teilnahme an diesen durch Finanzunternehmen müssen den Behörden allerdings gemeldet werden.

Um die beschriebenen Anforderungen möglichst umfassend und effizient zu erfüllen sollten die folgenden Leitgedanken beachtet werden:

  1. Automatisierung statt Excel
    Die Komplexität der geforderten Maßnahmen, die betroffenen Assets und die Variabilität der Beziehungen zwischen Finanzunternehmen und IKT-Dienstleistern fordert zwingend eine hohe Automatisierung. Nur dadurch lassen sich die Anforderungen an Transparenz und Steuerung handhaben.

  2. Integration statt Isolation
    Die DORA-Anforderungen zielen auf eine konsistente Gesamtsicht, die alle Informationen, von den Funktionen und Prozessen über die Kritikalitätsbewertungen bis hin zu den jeweiligen technischen Maßnahmen und den IKT-Dienstleistern, integriert. Eine isolierte Betrachtung der IKT-Dienstleister führt zu Inkonsistenzen und fragmentierte Informationen. Um diese zu vermeiden, müssen der Informationsverbund, die Vertragsdatenbank, die Dienstleistersteuerung und die CMDB verknüpft werden.

  3. Datenqualität und Verantwortung
    Durch die Transparenz, die DORA u.a. in Bezug auf die IKT-Vorfallmeldungen und das Informationsregister erfordert  bekommt die Datenqualität einen höheren Stellenwert. Nur mit automatisierten Kontrollen und einer klaren Verantwortungszuordnung kann eine angemessene Datenqualität sichergestellt werden.

Eine DORA bzw. Resilienz-Strategie ist schnell geschrieben. Auf die Umsetzung kommt es an. Steuern Sie Ihre DORA-Umsetzung auf Effizienz, Effektivität und Nachhaltigkeit. crossconsulting ist Ihnen gern dabei behilflich.

Arno Eitz, Partner und Gerrit van Eckendonk (Consultant)

Zurück zur Übersicht Nächster Beitrag

Das könnte Sie auch interessieren

Weitere Blog-Beiträge

Zurück nach oben springen
Bewerbungsformular